Auditoría SI

Auditoría en
entornos
informáticos
Ricardo J. Castello
Profesor Auditoría de Sistemas Computarizados
Facultad de Ciencias Económicas-UNC

Auditoría en entornos informáticos
Esta versión digital ha sido licenciada por el autor con una licencia de Creative
Commons. Esta licencia permite los usos no comerciales de esta obra en tanto en
cuanto se atribuya la autoriía original.
Atribución-NoComercial-CompartirDerivadasIgual 2.5 Argentina
Usted es libre de:
• copiar, distribuir, exhibir, y ejecutar la obra
• hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Usted debe atribuir la obra en la forma especificada por el autor o el
licenciante.
No Comercial. Usted no puede usar esta obra con fines comerciales.
Compartir Obras Derivadas Igual. Si usted altera, transforma, o crea sobre
esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia
idéntica a ésta.
• Ante cualquier reutilización o distribución, usted debe dejar claro a los
otros los términos de la licencia de esta obra.
• Cualquiera de estas condiciones puede dispensarse si usted obtiene permiso
del titular de los derechos de autor.
Sus usos legítimos u otros derechos no son afectados de ninguna manera por lo
dispuesto precedentemente.
Puede comunicarse con el autor por:
e-mail: castello@eco.unc.edu.ar
teléfono: 54-351-4334181
Segunda edición - Diciembre de 2006
I.S.B.N. 950-33-0199-8
ii

PROLOGO
La presente obra tiene como finalidad servir de material didáctico a los
estudiantes que cursen asignaturas relacionadas con auditoría de sistemas
computarizados en carreras de grado y postgrado vinculadas con las
disciplinas de administración y sistemas. Tambíen puede servir a aquellos
profesionales que quieran tener una visión global y sumaria de los
elementos a tener en cuenta cuando se efectúan trabajos de auditoría en
entornos informáticos. Su principal objetivo es evitar al lector la consulta de
material proveniente de diversas fuentes, proporcionando una visión global y
sintética de los temas abordados.
El material obtenido es el resultado de una larga labor de selección,
clasificación y elaboración de artículos escritos por el autor y por otras
fuentes (charlas, conferencias, cursos, publicaciones en Internet)
relacionadas con el tema. El principal objetivo de este material es recoger la
experiencia obtenida por el autor en el dictado de la asignatura “Auditoría de
Sistemas Computarizados” en carreras universitarias de grado en ciencias
económicas y sistemas y de posgrado, complementada por su experiencia
como profesional.
El tratamiento de los temas tienen como premisa fundamental obtener una
presentación didáctica de los distintos tipos de trabajos de auditoría que se
pueden realizar en un entorno computarizado.
Para una mejor presentación y comprensión de los conceptos, este trabajo
fue desarrollado en seis capítulos y cinco anexos; los que, a su vez, fueron
agrupados en cuatro unidades temáticas:
UNIDAD 1 – CONCEPTOS BASICOS
Trata los conceptos de auditoría y control, trabajos de auditoría posibles en
un entorno informático, programas de auditoría; está desarrollado en el
Capítulo 1 - "Conceptos Básicos".
iii

UNIDAD 2- AUDITORIA DE SISTEMAS DE INFORMACION
Descripción de los trabajos de auditoría de sistemas de información
computarizados; desarrollado en el Capítulo 2 - "Auditoría de Sistemas de
Información" y el Capítulo 3 - "Pistas de auditoría electrónicas". El Capítulo
2 es complementado por el Anexo I - “Informe COSO” y el Anexo II -
“Análisis por categorización del riesgo (Metodología de Price Waterhouse)”.
UNIDAD 3- AUDITORIA INFORMATICA
Descripción de los trabajos de auditoría a los recursos informáticos de una
organización; se desarrolla en el Capítulo 4 - "Auditoría Informática", al que
complementan el Anexo III - “Metodología COBIT” y el Anexo IV - “Fases de
crecimiento IT”.
En el Capítulo 5 - "Seguridad Informática" se aborda la problemática
relacionada con la protección de los activos informáticos; lo complementa el
Anexo V - “Medidas de seguridad informática”.
UNIDAD 4 – ASPECTOS GENERALES
Como cierre de este trabajo, presentamos en el Capítulo 6- ”Marco de las
Auditorías Informáticas” el ambiente global que condiciona la ejecución de
un trabajo de auditoría informática.
iv

INDICE DE CONTENIDO
UNIDAD 1 – CONCEPTOS BASICOS
CAPITULO 1 – Conceptos básicos
1. INTRODUCCION....................................................................................3
2. CLASES DE AUDITORIA.......................................................................4
2.1. Según el campo de actuación.............................................................4
2.2. Según la relación de dependencia del auditor....................................6
3. CONTROL Y AUDITORIA......................................................................8
3.1. Concepto de control.............................................................................8
3.2. Tipos de control...................................................................................9
3.3. Etapas del control..............................................................................10
3.4. Principio de economicidad del control...............................................11
3.5. Auditoría y control..............................................................................11
4. PISTAS DE AUDITORIA......................................................................12
5. AUDITORIA Y CONSULTORIA............................................................13
6. PROGRAMA DE AUDITORIA..............................................................14
6.1. Etapas de un programa de auditoría.................................................15
7. ANTECEDENTES ................................................................................20
7.1. ¿Equivalentes?..................................................................................20
7.2. Otras auditorías en entornos informáticos........................................22
CUESTIONARIO DE REVISION..............................................................23
UNIDAD 2 – AUDITORIA DE SISTEMAS DE INFORMACION
CAPITULO 2 – Auditoría de sistemas de información
1. INTRODUCCION..................................................................................27
1.1. El sistema de información contable...................................................28
1.2. Evolución y alcance de la auditoría contable....................................30
2. DIFICULTADES APORTADAS POR
EL AMBIENTE INFORMATICO..........................................................32
3. SISTEMA DE CONTROL INTERNO....................................................36
3.1. Impacto de la tecnología en el Control Interno.................................38
3.2. Objetivos del control interno .............................................................40
3.3. Importancia del control interno..........................................................41
3.4. Elementos sobre los que trabaja el control interno...........................42
3.5. Medidas de control interno aplicables
a un ambiente computarizado............................................................43
3.6. Tipos de controles programados ......................................................45
4. RELEVAMIENTO DEL SISTEMA DE CONTROL INTERNO..............49
5. METODOLOGÍAS PARA EVALUAR EL SISTEMA
DE CONTROL INTERNO.....................................................................51
6. PRUEBA DE LOS CONTROLES ........................................................54
6.1. Técnicas manuales o de observación directa...................................54
6.2. Técnicas computarizadas .................................................................57
6.3. Conclusiones......................................................................................64
CUESTIONARIO DE REVISION..............................................................65
v

ANEXO I – Informe COSO
INTRODUCCION......................................................................................67
1. AMBIENTE DE CONTROL...................................................................71
2. EVALUACIÓN DE RIESGOS...............................................................74
3. ACTIVIDADES DE CONTROL.............................................................78
4. INFORMACIÓN Y COMUNICACIÓN...................................................81
5. SUPERVISIÓN......................................................................................85
6. LIMITACIONES DEL CONTROL INTERNO........................................88
7. FUNCIONES Y RESPONSABILIDADES DEL PERSONAL................89
ANEXO II – Análisis por categorización del riesto (Metodología Price)
1) Acceso a las funciones de Procesamiento..........................................91
2) Ingreso de datos...................................................................................91
3) Items rechazados o en suspenso.........................................................92
4) Procesamiento......................................................................................92
5) Estructura organizativa del departamento de Sistemas .....................93
6) Cambios a los programas (ambiente de desarrollo)............................94
7) Acceso general (al sistema informático)..............................................94
8) Riesgo de continuidad de procesamiento ...........................................94
CAPITULO 3 – Pistas de auditoría digitales
1. INTRODUCCION..................................................................................95
1.1. ¿Desaparecen los rastros de auditoria ?..........................................96
1.2. Riesgos para el auditor.....................................................................97
1.3. Pistas de auditoría digitales...............................................................99
2. ARCHIVO LOG-AUDITORIA..............................................................101
2.1. Aportes del archivo Log-Auditoría...................................................101
2.2. Requisitos del archivo Log-Auditoría...............................................103
2.3. Administración del archivo Log-Auditoría........................................104
3. SERVIDOR DE AUDITORIA..............................................................106
3.1. Modelo conceptual...........................................................................107
3.2. Aportes del Servidor de Auditoría....................................................110
4. CONCLUSIONES...............................................................................112
CUESTIONARIO DE REVISION............................................................115
UNIDAD 3 – AUDITORIA INFORMATICA
CAPITULO 4 – AUDITORÍA INFORMÁTICA
1. INTRODUCCION................................................................................119
1.1. Concepto de Auditoría Informática..................................................120
2. AMBITOS DE LA AUDITORIA INFORMATICA.................................123
3. ADMINISTRACION............................................................................128
3.1. Análisis de la estructura organizacional..........................................128
3.2. Análisis de recursos humanos.........................................................131
3.3. Análisis de las normas y políticas del área de sistemas.................133
3.4. Análisis de la situación presupuestaria y financiera.......................133
4. EXPLOTACION U OPERACIONES ..................................................139
5. DESARROLLO ..................................................................................143
6. DEMANDANTES DE UNA AUDITORIA NFORMATICA...................150
7. CONSIDERACIONES FINALES........................................................152
CUESTIONARIO DE REVISION............................................................153
vi

ANEXO III – COBIT - OBJETIVOS DE CONTROL PARA
LA INFORMACIÓN Y LAS TECNOLOGÍAS AFINES
1. INTRODUCCION...............................................................................155
2. MARCO REFERENCIAL DEL COBIT...............................................158
3. OBJETIVOS DE CONTROL DEL MARCO REFERENCIAL.............165
3.1. Dominio PLANIFICACIÓN Y ORGANIZACIÓN..............................166
3.2. Dominio ADQUISICIÓN E IMPLEMENTACIÓN.............................173
3.3. Dominio ENTREGA Y SOPORTE...................................................175
3.4. Dominio MONITOREO....................................................................181
ANEXO IV – FASES DE CRECIMIENTO IT
1. INTRODUCCIÓN...............................................................................183
1.1. Objetivo del modelo........................................................................184
1.2. Caracteristicas de las etapas.........................................................184
1.3. Factores claves...............................................................................185
2. LAS FASES DE CRECIMIENTO IT...................................................190
2.1. Fase I - INICIACION.......................................................................190
2.2. Fase II - CRECIMIENTO ...............................................................191
2.3. Fase III - CONTROL ......................................................................193
2.4. Fase IV - INTEGRACION ..............................................................195
2.5. Fase v - ARQUITECTURA.............................................................199
2.6. Fase VI - DIFUSIÓN MASIVA .......................................................200
3. CONCLUSIONES..............................................................................202
CAPITULO 5 – SEGURIDAD INFORMÁTICA
1. INTRODUCCION..............................................................................207
2. CONCEPTOS RELACIONADOS CON
SEGURIDAD INFORMATICA..........................................................210
3. EVALUACION DEL RIESGO............................................................214
4. MEDIDAS DE SEGURIDAD INFORMATICA...................................217
5. PLANILLA O MATRIZ DE CONTROL..............................................218
6. PLAN DE SEGURIDAD INFORMATICA..........................................222
6.1. Auditoría de la seguridad informática............................................225
7. PLANES DE CONTINGENCIA.........................................................226
8. DELITO INFORMATICO...................................................................229
CUESTIONARIO DE REVISION..........................................................233
ANEXO V – MEDIDAS DE SEGURIDAD INFORMÁTICA
1. INTRODUCCION..............................................................................235
2. PROTECCION FISICA ....................................................................236
3. COPIAS DE SEGURIDAD Y EQUIPAMIENTO DE RESPALDO....237
4. SISTEMAS TOLERANTES A LOS FALLOS....................................240
5. PROGRAMAS ANTIVIRUS..............................................................242
6. CIFRADO DE DATOS......................................................................245
7. CONTROL DE ACCESOS, PERMISOS Y DERECHOS.................250
8. REGISTROS DE AUDITORÍA..........................................................254
9. SEGURIDAD EN REDES / INTERNET ...........................................256
vii

UNIDAD 4 – ASPECTOS GENERALES
CAPITULO 6 – MARCO DE LAS AUDITORÍAS INFORMÁTICAS
1. INTRODUCCION..............................................................................263
2. MARCO LEGAL ...............................................................................265
2.1. Protección de datos personales (habeas data)............................265
2.2. Contratos informaticos..................................................................269
2.3. Ley Sarbanes-Oxley......................................................................271
3. UN NUEVO MODELO......................................................................275
4. PROPUESTAS ................................................................................279
5. EL AUDITOR DE SISTEMAS..........................................................280
CUESTIONARIO DE REVISION..........................................................283
BIBILIOGRAFIA....................................................................................285
viii

2

CAPITULO 1
Conceptos básicos
1. INTRODUCCION
Etimológicamente la palabra “auditoría” deriva del latin audire que significa oir, el
sustantivo latino auditor significa "el que oye". Los primeros auditores ejercían
sus funciones principalmente oyendo, juzgando la verdad o falsedad de lo que
les era sometido a su verificación. 1
Muchas pueden ser las definiciones de auditoría, dependen del enfoque
disciplinario de quienes la elaboran; en nuestro caso proponemos la siguiente:
Auditoría es un control selectivo, efectuado por un grupo independiente del
sistema a auditar, con el objetivo de obtener información suficiente para evaluar
el funcionamiento del sistema bajo análisis.
Auditar es efectuar el control y la revisión de una situación pasada. Es observar
lo que pasó en una entidad y contrastarlo con normas predefinidas.
1
Federación Argentina de Profesionales en Ciencias Económicas, CECYT, Informe N° 5, Area
Auditoría, Manual de Auditoría, 1985. pág. 33.
3

2. CLASES DE AUDITORIA
De acuerdo a la naturaleza del trabajo, hay distintas clasificaciones de auditoría:
2.1. Según el campo de actuación
En este caso, clasificamos los trabajos de auditoría según el ámbito donde se
aplique. Tenemos así: auditorías contables, administrativas, sociales, médicas,
informáticas, militares, etc. Veamos ahora cuáles son los alcances de algunas
de ellas.
• Auditoría contable
Es el examen independiente de los estados financieros de una entidad con la
finalidad de expresar una opinión sobre ellos. En este marco el auditor investiga
críticamente los estados contables de una organización para formarse un juicio
sobre la veracidad de tal información y comunicarlo a la comunidad.
El objetivo principal de una auditoría contable consiste en examinar los estados
contables de una organización, aplicando “normas de actuación generalmente
aceptadas”, de forma que permita al profesional encargado de su realización
informar sobre la veracidad y razonabilidad de la situación patrimonial
examinada, al tiempo que se pronuncia sobre si los mismos están
confeccionados de acuerdo con las normas contables, y si éstas han sido
aplicadas de manera uniforme con respecto a los ejercicios anteriores. Las
características controladas son las transacciones y el patrimonio en cuanto a su
existencia, propiedad, integridad, valuación y exposición. De este objetivo se
desprenden dos actividades2
:
a) Comparar las transacciones del período y el patrimonio al final del ejercicio
registrados en la contabilidad.
b) Comparar la valuación asignada a las transacciones y al patrimonio.
Una auditoría contable persigue además otros propósitos referidos a la
protección de los activos; el control de los datos en cuanto a su integridad,
exactitud, oportunidad; la reducción de riesgos por pérdida de información; la
2
Federación Argentina de Profesionales en Ciencias Económicas, CECYT, Informe N° 5, Area
Auditoría, Manual de Auditoría, Capítulo 1, 1985.
4

evaluación de la calidad y eficiencia de los controles y la vigilancia de su
aplicación en la práctica.
• Auditoría administrativa
Es el control de la actividad desarrollada por los administradores de una
organización; evalúa el desempeño de los mismos como ejecutivos, el
cumplimiento de las metas programadas, la eficiencia en el uso de los recursos
disponibles, el éxito o fracaso en las misiones encomendadas.
Se la denomina, también, "auditoría operativa" y puede ser definida como el
examen de la gestión de un ente con el propósito de evaluar la eficiencia de sus
resultados. Toma como referencia las metas fijadas a la empresa; los recursos
humanos, financieros y materiales empleados; la organización, utilización y
coordinación de dichos recursos y los controles establecidos sobre dicha
gestión. En general busca controlar la calidad de los sistemas de gestión de una
empresa.
• Auditoría Social
Es el examen o evaluación sistemática sobre algún campo de acción
significativo, definible, de actividades con repercusión social.
• Auditoría médica
Es el examen o evaluación de la calidad de los servicios médicos efectuados
por los prestadores de salud. En Argentina este tipo de auditorías es efectuada
por profesionales especializados vinculados a las obras sociales.
• Auditoría informática
En este marco, podemos adelantar el concepto de auditoría informática: es el
estudio que se realiza para comprobar la fiabilidad de la herramienta informática
y la utilización que se hace de ella en una organización. En forma más amplia
se analiza la aplicación de recursos informáticos a los sistemas de información
existentes en las empresas, en especial los orientados a automatizar las tareas
administrativo-contables, financieras, de gestión, de soporte de decisiones, etc.
5

2.2. Según la relación de dependencia del auditor
• Auditoría interna
Es una función de evaluación interna, ejercida por personal perteneciente a los
cuadros de la empresa. Actúa como un servicio independiente de la línea
jerárquica corriente, por lo que depende directamente de la Dirección de la
organización. La auditoría interna mide y evalúa la confiabilidad y eficacia del
sistema de control interno de la entidad con miras a lograr su mejoramiento.
• Auditoría externa
Es una función de evaluación externa, ejecutada por un ente externo e
independiente de la línea jerárquica establecida. Actúa controlando algún
aspecto particular de las operaciones o procedimientos establecidos en la
organización.
Si comparamos las auditorías internas con las externas, vemos que las primeras
tienen como ventaja el conocimiento por parte del auditor de la “cultura” de la
organización y el hecho de que al pertenecer a la plantilla de la empresa el
profesional no es visto como un cuerpo extraño y, por consiguiente, no se le
retacea información; las externas, en cambio, cuentan como ventaja la
independencia del auditor, quién puede aplicar sus propios criterios, libre del
“sentimiento de pertenencia” a la estructura de la entidad.. Veamos en el
siguiente cuadro3
, una comparación de los alcances de la auditoría externa e
interna cuando se evalúan los estados contables de una entidad:
3
Consejo Profesional de Ciencias Económicas de la Capital Federal, Comisión de Estudio de
Auditoría, INFORME N° 18, “La tarea de auditoría contable y su relación con la auditoría interna del
ente”, , Bs. As., julio de 1992.
6

Aspecto
considerado
Auditoría externa Auditoría interna
OBJETIVO Opinar sobre la razonabilidad de la
información reflejada en los
Estados Contables, y si fueron
elaborados de acuerdo con las
Normas de Auditoría Vigentes
Medir y evaluar la eficiencia de la
operatoria del ente, así como la
confiabilidad del control interno del
mismo, proveyendo análisis y
recomendaciones que tiendan a su
mejoramiento
SUJETO Contador Público Preferentemente profesional de
Ciencias Económicas.
INDEPENDENCIA Total Profesional en relación de
dependencia
OBJETO PRINCIPAL
DE SU EXAMEN
Estados contables anuales o
intermedios
Actividades de control interno del
ente, circuitos administrativos,
manual de procedimientos y
organigramas.
NORMAS DE
APLICACION
Normas profesionales vigentes.
Exigencias legales de órganos de
control.
Normas de auditoría interna.
No obligatorias.
PRODUCTO FINAL Informe sobre Estados Contables
anuales o intermedios.
Informes sobre control interno,
gestión, desvíos presupuestarios.
RESPONSABILIDAD Profesional
Civil
Penal
Profesional
Laboral
CONDICIONES
PERSONALES
Independencia de criterio (respecto
del ente auditado).
Título habilitante.
Cuidado profesional.
Independencia de criterio
(dependiendo del máximo nivel
decisorio de la empresa).
Capacidad técnica.
Cualidades personales.
7

3. CONTROL Y AUDITORIA
3.1. Concepto de control
Existen varias definiciones del término control. Difieren debido a distinciones
conceptuales o bien respecto al objeto del mismo (dónde será aplicado). El
Informe N° 5 del CECYT4
lo define como “el proceso de ejercitar una influencia
directiva o restrictiva”, es decir, las posibilidades de dirigir actividades hacia
objetivos buscados o de evitar que se produzcan resultados no deseados.
En general, se reconoce al control como una función administrativa básica;
consiste en verificar que las diferentes actividades que se realizan en una
organización tiendan a alcanzar sus objetivos. Se considera que el control
produce dos tipos de acciones según sea el ámbito donde se aplique:
• Influencia directiva, intenta que las actividades del sistema se realicen de
modo tal que produzcan determinados resultados o alcancen objetivos
específicos predefinidos.
• Influencia restrictiva, la acción se ejerce de modo tal que evite que las
actividades de un sistema produzcan resultados no deseados.
Elementos del control
Los elementos necesarios para implementar un sistema de control son5
:
• Elemento, característica o condición a controlar.
• Sensor: artefacto o método para medir las características o condiciones
controladas, es decir instrumento para medir el rendimiento.
• Grupo de control: unidad o equipo de control para comparar los datos
medidos con el rendimiento planeado. Determina la necesidad de corrección
y envía la información a los mecanismos que deben normalizar o corregir la
producción del sistema.
4
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONOMICAS,
CECYT, Area Auditoría, Informe N° 5, Manual de Auditoría, 1985, pág. 35.
5
Idem 4, pág. 37.
8

• Grupo activante: mecanismo activador que es capaz de producir un cambio
en el sistema operante, es decir, realizar la acción correctiva
correspondiente.
En síntesis, el control es un proceso y consiste en una comparación, un
contraste de un resultado (ocurrido o proyectado) con otro (esperado o
deseable) y, por lo tanto, implica una medición.
3.2. Tipos de control
Dijimos que auditoría es una actividad de control, por lo tanto vamos a
profundizar un poco, clasificando a estos últimos:
a) De acuerdo a su objetivo, en esta categoría tenemos:
• Correctivos, son aquellos que cuentan en su estructura con los elementos
para medir las desviaciones e informar sobre ellas. Implican la determinación
de los desvíos y su informe a quien debe actuar sobre éstos. Los controles
correctivos, también, pueden ser retroalimentados (datos del pasado) o
prealimentados, por ejemplo: presupuestos, ratios.
• No correctivos, son los que prescinden de la medición e información de los
desvíos que se pueden producir, como es el caso de controles de separación
por funciones y oposición de intereses.
b) De acuerdo a su marco temporal, en este caso tenemos:
• Retroalimentados, pues operan sobre hechos sucedidos. Comparan los
resultados ocurridos con los esperados.
• Prealimentados, pues operan sobre eventos futuros (en los procesos
industriales se denominan “control anticipante”) y previenen la ocurrencia de
resultados indeseados.
c) De acuerdo a su pertenencia al sistema operante, tenemos:
• De secuencia abierta, donde el grupo de control no pertenece al sistema
operante; es independiente del mismo.
• De secuencia cerrada, en el que todos los elementos del control pertenecen
al propio sistema operante.
9

Un enfoque más cercano a nuestra problemática es analizar los tipos de
controles relacionados con la administración de una organización. En este caso
vamos a agruparlos en:
− Control interno: es el conjunto de reglas y normas de procedimiento que
regulan el funcionamiento administrativo de una organización. Tienen el
propósito de preservar al patrimonio de la empresa de los posibles errorres u
omisiones, maniobras fraudulentas o daño intencional que pudieran llegar a
afectarla.
− Control presupuestario: es el cotejo periódico de los ingresos y de los gastos
reales de un período con el fin de poner en evidencia las desviaciones a lo
presupuestado.
− Control de gestión: proceso mediante el cual los directivos se aseguran la
obtención de recursos y el empleo eficaz y eficiente de los mismos en el
cumplimiento de los objetivos fijados a la organización.
3.3. Etapas del control
Las etapas para establecer un sistema de control son las siguientes:
1. Establecimiento de estándares: es la acción de determinar el/los parámetro/s
sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de
esos parámetros considerado deseable. Este es el primer elemento a
establecer para instrumentar un sistema de control. En esta especificación se
deberán incluir, entre otros, la precisión con que se medirá el parámetro a
verificar, el método de medición y el instrumento sensible que se aplicará, la
periodicidad en la aplicación y hasta los responsables de esta tarea.
2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con
los deseables. En esta etapa se investiga (más o menos extensamente)
acerca de las causas de las desviaciones que acompañarán un informe con
las discrepancias detectadas, para ser fuente de información de la siguiente
fase.
3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita
una decisión: corregir o dejar como está. Obviamente será más certera y
10

económica la solución de la discrepancia mientras más correcto sea el
diagnóstico hecho en la etapa anterior.
4. La ejecución de las acciones correctivas es el último paso. Sin éste, el
control será estéril, inútil e incompleto. Más aún, infinitamente caro como
respuesta al problema que intentó solucionar. Por ello, se considera que sin
esta etapa simplemente no ha existido una acción de control.
3.4. Principio de economicidad del control
Un principio básico a tener en cuenta cuando se quiere implementar un control,
es analizar el costo de la instrumentación del mismo. Se considera que este
costo debe ser menor al beneficio (potencial o real) que se obtiene con su
implementación. Por ello no se evalúan todas las características o parámetros
posibles, sino sólo aquellos que dan un ratio positivo a la relación costo de
implementar la medida-beneficio esperado (por estas razones se dice que el
control es selectivo).
3.5. Auditoría y control
En este marco, la auditoría es una función de control, con las siguientes
características:
• Es del tipo retroalimentado, porque se refiere a hechos sucedidos.
• Es correctiva, ya que está orientada a la medición e información de los
desvíos.
• Es de secuencia abierta, ya que el grupo de control es independiente (no
debe pertenecer al sistema operante, aunque puede ser parte de la
empresa).
• Es selectiva.
11

4. PISTAS DE AUDITORIA
¿Qué son las pistas de auditoría? Son elementos que permiten certificar la
existencia de una operación, la validez de sus cifras, la identidad de los sujetos
involucrados, el momento de su acaecimiento, etc. Es decir, son la prueba de
una transacción. Las podemos definir como:
“... documentos originarios, diarios, mayores, y papeles de trabajo que posibilitan
al auditor rastrear una operación, desde el resumen hacia la fuente primitiva. Sólo
por tal procedimiento el auditor puede determinar que los resúmenes reflejan la
operatoria real transcurrida.”6
El sistema de información debería conservar las pistas de auditoría para permitir
al auditor el rastreo del flujo de operaciones dentro de la empresa, y la
comprobación de la ocurrencia y exactitud de las registraciones realizadas.
A partir del empleo de computadores como herramienta base donde se
procesan las operaciones de un sistema de información, comenzaron a
advertirse modificaciones significativas en las pistas de auditoría, motivados por
las continuas modificaciones de los equipamientos, y el cambio de las
modalidades de procesamiento. Por esta causa se ha arribado a una situación
en la cual las pistas de auditoría existen pero en condiciones y con
características totalmente diferentes a las imperantes en los sistemas de
información manuales (en "soporte papel").
6
NCR CORPORATION, Customer Support Training - System Analist Design, Dayton (Ohio), NCR
Corporation, 1989.
12

5. AUDITORIA Y CONSULTORIA
Creemos importante diferenciar las tareas comprendidas en una misión de
auditoría de aquéllas que corresponden a una consultoría, dado que es habitual
confundirlas en los trabajos que involucran equipamiento y sistemas
informáticos. Los límites entre una y otra se relacionan más con los objetivos del
trabajo que con las tareas que efectivamente se prestan.
Como ya lo expresáramos anteriormente, la auditoría comprende la realización
del control y la revisión de una situación pasada, observando lo actuado y
contrastándolo con normas predefinidas. La efectividad de un trabajo de
auditoría se refleja en las mejoras recomendadas al sistema de control interno
de la empresa y a la seguridad.
En tanto, la consultoría tiene como misión implementar las recomendaciones
propuestas en una auditoría previa o por un ejecutivo, con el propósito de
mejorar la productividad de la empresa. Es una perspectiva de asesoramiento
con visión de futuro. Es frecuente que una consultoría sea consecuencia o el
resultado de una auditoría.
Esto último supone que la consultoría se sustenta en un esfuerzo previo de
conocimiento y diagnóstico de la organización (resultado de una auditoría), para
luego elaborar las bases de la reorganización del ente y la tecnología de
implementación. La efectividad de la labor de consultoría se podrá medir a
medida que transcurra el tiempo desde la puesta en práctica de las soluciones.
Objetivo Momento
Auditoría Controlar el desempeño Posterior a los eventos
Consultoría Optimizar el desempeño Previo a los eventos
13

6. PROGRAMA DE AUDITORIA
Podemos afirmar que un trabajo de auditoría es un proyecto ¿porqué? Para
explicar esta afirmación, recordemos algunos conceptos relacionados con los
proyectos:
Concepto de proyecto
Los proyectos son un conjunto de actividades a realizar con un objetivo
claramente definido, en un marco de recursos limitados y dentro de un plazo
determinado. Las tareas involucradas en un proyecto normalmente no serán
repetidas en el tiempo, son emprendimientos particulares con fechas de
inicio y terminación fijadas. Se caracterizan por disponer de equipos de
trabajo formados ad-hoc para desarrollar las tareas en cuestión.
Características de un proyecto:
• Existe un objetivo o beneficio a conseguir.
• Tiene un principio y un fin.
• Es no recurrente, es único y diferente a los demás.
• Consta de una sucesión de actividades o fases y requiere la
concurrencia y coordinación de diferentes recursos.
• Dispone de un conjunto limitado de recursos.
• Se desarrolla en un ambiente caracterizado por el conflicto,
frecuentemente “cruza” departamentos y líneas de autoridad.
Uno de los elementos a tener en cuenta para asegurar el éxito de un
proyecto es analizar los riesgos del mismo. Las causas más frecuentes de
su fracaso son las siguientes:
• Objetivos inadecuados, confusos, mal definidos, poco realistas,
exageradamente ambiciosos, no consensuados.
• Comunicación escasa entre los involucrados en el proyecto, conflictos
de poder entre los líderes, mala o nula comunicación.
• Recursos insuficientes, inadecuados.
• Mala planificación e incapacidad para prever la marcha del proyecto,
subestimación de los problemas (o sobrestimación), visión parcializada.
• Administradores del proyecto permeables a las presiones externas.
• Problemas políticos, luchas de poder, falta de compromiso por parte de
los integrantes del proyecto.
Etapas de un proyecto
1. Fijación del objetivo: debe clarificarse adecuadamente el objetivo con
indicación del alcance.
2. Planificación: consiste en planificar y programar actividades definiendo
recursos, plazos y calidad.
3. Ejecución: es la puesta en marcha del proyecto, para lo cual hay que
procurar una ejecución eficaz.
4. Control: implica evaluar la marcha del proyecto, negociar y redefinir.
14

Como vemos, entonces, un trabajo de auditoría es un proyecto, ya que no forma
parte del trabajo habitual de una organización (aunque las auditorías internas
puedan desmentir esta afirmación); están a cargo de un equipo de trabajo
formado especialmente, tienen plazo de incio y finalización fijados, disponen de
recursos limitados y tienen un objetivo propio y específico (los trabajos de
auditoría no siempre buscan lo mismo). Analizando las características de un
proyecto y sus etapas, podemos hacernos una idea más cercana sobre cuáles
son las tareas a realizar en un trabajo o "pograma" de auditoría.
6.1. Etapas de un programa de auditoría
Un programa de auditoría es el documento que nos dice cómo se efectúa el
trabajo. Debe contemplar cómo, cuándo, quiénes y dónde se efectuarán las
tareas. Podemos entonces agrupar los pasos para realizar una auditoría en:7
1) Definición del objetivo:
En los casos de trabajos de auditorías contables las posibilidades para
seleccionar el objetivo de la mismas están bastante limitadas y son previsibles;
en el caso de otros tipos de trabajos de auditoría, como las de sistemas, el
objetivo se determina en función de las necesidades demandadas por quien
solicita el servicio.
2) Definición del alcance:
El alcance de una auditoría es determinado siempre en forma específica para
cada trabajo; en particular, lo fijan las necesidades y expectativas del comitente.
En la determinación del alcance influye de manera decisiva el grado de certeza
requerido a los datos que figuren en el informe. Por ejemplo, si debe controlarse
toda la población o puede hacerse un muestreo sobre el item que se está
auditando.
Un elemento distintivo de los proyectos de auditoría es que a la fijación del
objetivo sigue la determinación del alcance, pero son dos parámetros que deben
establecerse separadamente. El alcance puede ser asociado a la palabra
7
ALIJO, JORGE, Apuntes del Seminario “Auditoría en Entornos Computarizados” , C.P.C.E. de
Córdoba, 1994.
15

“profundidad” y comprende la especificación de “hasta dónde” se realizará (se
avanzará en) el trabajo de investigación, cuáles serán los hechos y elementos
que se tomarán en cuenta, cuáles serán los que no se controlorán. En los
trabajos de auditoría la delimitación del alcance es fundamental para poder
establecer con claridad los “límites” del informe y, por consiguiente, los límites
de la responsabilidad del auditor.
Este concepto es de suma importancia ya que define con precisión el entorno y
los límites en que va a desarrollarse el trabajo; complementa el marco
expresado en los objetivos de la auditoría. Por ejemplo:
• ¿Se verificará la totalidad de los documentos grabados, o solamente una
muestra? En este último caso, ¿cómo se define la muestra?
• ¿Se someterán los registros grabados a un control de integridad exhaustivo?
• ¿Se probarán los controles de validación?
Es evidente la necesidad de precisar los límites de un trabajo de auditoría, hasta
el punto de que su indefinición compromete el éxito de la misma.
El alcance de la auditoría ha de figurar expresamente (junto con el objetivo) en
el informe final, de modo que quede perfectamente determinado no solamente
hasta qué puntos se ha llegado, sino qué materias fronterizas han sido omitidas.
Igualmente habrán de expresarse las excepciones del alcance, cuando exista
alguna cuestión que pudiera suponerse incluida, sin estarlo.
Dentro de este paso debe contemplarse, también, la fijación de los
interlocutores del equipo auditor, es decir, determinar quiénes tendrán poder de
decisión y de validación dentro de la empresa en el proyecto de auditoría.
Igualmente, en esta instancia, deben determinarse los destinatarios del Informe
Final.
3) Relevamiento e investigación:
Esta etapa es la que demanda mayor esfuerzo, tiempo y recursos de un
programa de auditoría; en ella el auditor debe involucrarse en forma personal
procurando obtener la mayor cantidad posible de información de "primera
mano". Comprende las siguientes actividades:
16

-Elaboración del Plan de Auditoría y de los Programas de Trabajo: Una vez
hecho el estudio inicial y asignados los recursos necesarios para la auditoría, el
responsable de la misma y sus colaboradores establecen el Plan de Auditoría,
donde el encargado de cada grupo de trabajo programa las actividades que le
corresponden y las eleva al responsable general del proyecto para ser
compatibilizadas.
Características del Plan de Auditoría:
• Establece los recursos globales que van a ser necesarios para el
trabajo.
• Establece las prioridades de evaluación sobre el material auditable (de
acuerdo con las indicaciones del cliente).
• Establece la disponibilidad requerida del personal y de los demás
recursos a controlar.
• Describe las tareas a realizar y las responsabilidades de cada integrante
del equipo de trabajo.
• Establece las ayudas que el auditor debe recibir por parte del auditado.
• No se consideran calendarios porque en esta instancia se manejan
recursos genéricos y no específicos.
Una vez elaborado el Plan de Auditoría, se procede a la programación detallada
de sus actividades. En esta instancia se elaboran los Programas de Trabajo que
son las cuantificaciones del Plan de Auditoría. En ellos se asignan los recursos
humanos y materiales concretos para cada segmento del plan general. En los
Programas de Trabajo se establece el calendario real de actividades a realizar;
estos documentos sirven para controlar el grado de avance del proyecto de
auditoría.
-Ejecución de las actividades de relevamiento: En este punto el auditor debe
documentarse sobre cómo trabaja el área o sistema que se está auditando. En
cuando se realizan las actividades concretas -in situ- del trabajo de auditoría:
observación del ambiente de trabajo, entrevistas, encuestas, análisis de
documentación, etc. Las técnicas y/o herramientas a utilizadar serán descriptas
en la próxima unidad.
4) Análisis:
17

Realizadas las tareas de relevamiento e investigación, las actividades de esta
etapa consisten en procesar la información recabada, evaluar la calidad de los
controles y sacar las conclusiones pertinentes; es decir clasificar, elaborar,
ordenar los “papeles de trabajo” obtenidos en la etapa anterior. El objetivo es
obtener la información documentada necesaria para avalar el resultado del
trabajo, es decir respaldar el Informe de Auditoría.
5) Elaboración del Informe:
La elaboración del Informe Final es el último paso de una auditoría. Es el
exponente de la calidad del trabajo y el lugar donde el auditor avala personal y
profesionalmente su juicio en forma documental.
Es el resultado tangible del trabajo de auditoría. Todo lo que se vuelque en el
informe debe estar avalado por los papeles de trabajo, constancias
documentales o pruebas tangibles y objetivas; de otra manera éste puede ser
objetado y hasta desechado.
Los hechos a incluir en un informe de auditoría implican la existencia de una
debilidad detectada que ha de ser corregida o puntos de control que deben ser
fortalecidos. El Informe debe incluir solamente hechos importantes. La inclusión
de hechos poco relevantes o accesorios desvía la atención del lector y desvirtúa
el informe en su conjunto.
Resulta evidente la necesidad de reactar borradores e informes parciales y
previos del Informe Final, ya que es el método más adecuado para equilibrar las
técnicas analíticas utilizadas durante el trabajo de relevamiento, con las
sintéticas que exige la confección de este informe. Los borradores e informes
parciales pueden ser usados como elementos de contraste de opiniones entre
auditor y auditado, y pueden descubrir fallos de apreciación por parte de los
especialistas al evaluar las materias auditadas.
18

Estructura del Informe Final
El documento que formaliza la ejecución del trabajo de auditoría es el
Informe Final. Según Acha Iturmendi8
, sus capítulos son:
1) Marco de ejecución del trabajo de auditoría. El informe se inicia
especificando las fechas de comienzo de la auditoría y de redacción
del documento. Se incluyen asimismo los nombres de los especialistas
integrantes del equipo auditor y los nombres de todas las personas
entrevistadas (con indicación de la posición, responsabilidad o puesto
de trabajo que ostenten).
2) Definición de objetivos y alcance de la auditoría.
3) Enumeración de temas considerados. Antes de tratarlos en
profundidad, se enumerarán lo más exhaustivamente posible todos los
temas objeto de la auditoría.
4) Cuerpo expositivo (Observaciones). Para cada tema objeto de
auditoría se sigue el siguiente orden:
−Situación actual. Cuando se trate de una revisión periódica, en la que
se analiza no solamente una situación, sino además su evolucion en
el tiempo, se expondrá la situación prevista y la situación real.
−Tendencias. Se tratarán de hallar parámetros de correlación que
permitan establecer tendencias de situación futura; no siempre es
posible tal pretensión.
−Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin
referencias a otros lugares del informe.
5) Recomendaciones y Planes de Acción. Constituyen, junto con la
exposición de puntos débiles, el verdadero objeto de una auditoría.
Consejos:
• Siempre se explicitará la palabra “recomendación”, y ninguna otra.
• Deberán entenderse por sí solas, por su simple lectura.
• Deberán ser concretas y exactas en el tiempo, para que puedan ser
seguidas y verificadas en su implementación.
• Las recomendaciones se redactarán de forma tal que vayan dirigidas
expresamente a la persona o personas que puedan implementarlas.
• Deberán evitarse las recomendaciones demasiado generales.
6) Redacción de la “Carta de Introducción” o “Presentación”. Este
documento tiene especial importancia porque en pocas hojas resume
la auditoría realizada, de manera que el cliente pueda formarse una
idea aproximada de la situación final con la sola lectura de este informe
sintético. Así como pueden existir tantas copias del Informe Final como
solicite el cliente, no deberían hacerse copias de este documento, ya
que la información que contiene es de naturaleza confidencial. Su
destinatario debe ser la autoridad máxima de la empresa (o a quien
ella delegue expresamente).
8
ACHA ITURMENDI, J.JOSE, “Auditoría Informática de la empresa”, Editorial Paraninfo, Madrid,
1994. Capítulo 6.
19

7. ANTECEDENTES
Al hablar de auditoría en una empresa se piensa en un contador revisando el
sistema de información contable. Los primeros sistemas de procesamiento
electrónico de datos (computadores) fueron aplicados para automatizar las
tareas administrativo-contables de las empresas. Por consiguiente, los primeros
trabajos de auditoría que se realizaron en los entornos informáticos fueron
auditorías al sistema de información contable o económico-financiero y fueron
entonces ejecutados por los mismos especialistas que ya estaban controlando
dichas actividades: los contadores-auditores. En principio tomaron al
computador como una "caja negra", es decir se limitaron a analizar la entrada y
salida de los datos sin preocuparse de cómo se procesaban, dando origen a las
técnicas de auditoría “alrededor del computador”.
Luego, los auditores contables comprendieron que necesitaban conocer cómo
se procesaba la información, para ello se informaron respecto de los principales
aspectos técnicos relacionados con la nueva herramienta, dando lugar al
desarrollo de las técnicas de auditoría “a través del computador”. Como una
extensión del alcance de su trabajo, también se ocuparon de analizar el
funcionamiento (la gestión) del entorno donde residía la información objeto de
análisis, es decir auditar el ambiente informático en sus aspectos técnicos:
equipamiento, programas, comunicación de datos, etc., enmarcados en trabajos
de “auditorías operativas” al Centro de Cómputos. De esta manera, ejecutaron
trabajos de auditoría informática o de sistemas, según la óptica de los
especialistas en sistemas.
7.1.¿Equivalentes?
Muchos autores consideran a los términos Auditoría de Sistemas y Auditoría
Informática como equivalentes; sin embargo, creemos oportuno hacer algunas
consideraciones al respecto:
20

Auditoría de sistemas es un término con varias acepciones y abarca ámbitos
más amplios. En general, se refiere a las actividades de evaluación y control de
los sistemas de información de una organización.
Sin perjuicio de otros trabajos también rotulados como “auditoría de sistemas”,
se suelen denominar así a tres tipos de auditorías:
- las que evalúan la operatividad de los sistemas de gestión de la
organización, llamadas también “auditorías operativas”.
- las que evalúan la eficiencia de los sistemas de información de la empresa.
- las que evalúan la funcionalidad de los paquetes aplicativos implementados,
incluídas también dentro de una auditoría informática.
Históricamente, el sistema de información de una empresa sobre el que se
hacían auditorías era el contable, que reflejaba la situación económico-
financiera de la empresa. La irrupción de tecnologías de procesamiento
electrónico de datos facilitó el desarrollo y automatización de otros sistemas de
información en la empresa, los que completan y complementan el contable. Esta
situación justifica la necesidad de auditar todos los sistemas de información de
la entidad, incluyendo los de gestión de ventas, gestión de compras,
administración de activos fijos, administración de inventarios, etc.
Auditoría infomática, en cambio, se ocupa sólo de evaluar cómo se utilizan los
recursos informáticos que dispone la organización. Es un análisis de eficiencia y
puede llegar, incluso, a considerar las nuevas tecnologías disponibles en el
mercado (los recursos potenciales) aplicables al procesamiento de datos.
La auditoría informática de una entidad, en algunos casos, incluye la evaluación
de los sistemas de aplicación en producción, tareas comprendidas también en
una auditoría de sistemas. A su vez, una auditoría de sistemas puede incluir la
evaluación de los recursos informáticos que se usan para mantenerlo operativo.
De ahí que sus ámbitos de actuación se crucen, confundan y nos lleven a
considerar ambos términos como equivalentes.
21

7.2.Otras auditorías en entornos informáticos
Otra tipo de trabajo de auditoría posible en estos ambientes es el relacionado
con seguridad informática. Los estudios sobre este tema suelen estar incluídos
como un item más dentro de los trabajos de auditoría realizados en un entorno
de procesamiento de datos. Sin embargo, el mercado está requiriendo de
especialistas exclusivos en seguridad informática. La complejidad e importancia
del tema exige y justifica que actúen técnicos específicos en seguridad y
prevención de cada uno de los aspectos involucrados: comercio electrónico,
bases de datos, comunicación de datos, etc. La seguridad del sistema
informático afecta en forma directa al control interno de los sistemas financiero-
contables. Actualmente los mayores demandantes de herramientas de
seguridad informática provienen del ambiente bancario, de seguros y de
defensa y, últimamente, de los sistemas de comercio electrónico y tarjetas de
crédito.
Por último, consideremos otro tipo de trabajos de auditoría posibles en un
entorno computarizado, las auditorías de proyectos informáticos. Al respecto
podemos decir que son poco frecuentes, sólo proyectos informáticos con
grandes presupuestos o muy complejos los justifican y son normalmente
realizados por especialistas en sistemas. En este material no desarrollaremos
los aspectos relacionados con este tipo de trabajos de auditoría; sin embargo,
sugerimos asemejarlas a las tareas de control que se realizan a la ejecución de
cualquier tipo de proyecto.
22

CUESTIONARIO DE REVISION
¿Qué es auditoría?
¿Qué es control y qué comprende el control interno?
¿Qué son las pistas de auditoría?
23

¿Cuáles son las diferencias entre auditoría y consultoría?
¿Qué tipos de trabajos de auditoría se pueden realizar en un
entorno informático y cuáles son los objetivos de cada uno
de ellos? Descríbalos
24

UNIDAD 2
Auditoría de
Sistemas de
Información
25

26

CAPITULO 2
Auditoría de sistemas de información
1. INTRODUCCION
En este capítulo trataremos los trabajos de auditorías de sistemas o auditoría de
sistemas de información. Tomaremos como caso el sistema de información más
desarrollado, difundido y con mayor historia dentro de las organizaciones: "la
contabilidad" o sistema de información económico-financiero. Este sistema de
información fue el primero en formalizarse y estandarizarse, sirve tanto para
registrar el desempeño de una entidad o persona en lo que respecta a los
aspectos económicos-financieros como para efectuar comparaciones entre
entidades de la economía, obtener cifras globales (consolidación entre
empresas) de un sector de la economía, etc.
El sistema de información contable se desarrolló en una primera instancia para
trabajar en un entorno manual (libros contables, documentación escrita,
comprobantes, etc.) y así permaneció por varios siglos; en las últimas décadas
del siglo XX fue cuando sufrió las mayores transformaciones, a partir de las
máquinas de "registro directo" primero y, posteriormente, las computadoras
cambiaron por completo el ambiente de trabajo.
En este material, entonces, vamos a tomar al sistema de información contable
como ejemplo de un sistema de información y sobre él desarrollaremos las
técnicas y procedimientos para efectuar "auditoría de sistemas". Las razones
son varias y poderosas: es el sistema más estandarizado, está vigente en todas
las organizaciones, tiene mayor cantidad de especialistas, etc. Sin embargo, ello
no obsta para que aclaremos que en una organización existen muchos sistemas
de información que se interrelacionan y complementan con el contable y que,
quizá, son aún más importantes para la entidad que éste último y, por lo tanto,
deben considerarse también candidatos firmes para una "auditoría de sistemas".
Comenzaremos, entonces, por repasar algunos conceptos de contabilidad,
elementos que nos ayudarán a entender cómo realizar un trabajo de auditoría
en este tipo de sistema de información.
27

1.1. El sistema de información contable
Recordemos el concepto de contabilidad: proceso de identificación, medición,
registro y comunicación de los datos económicos de una entidad. Incluye el
sistema de información económico-financiero de la misma. La finalidad que
persigue es permitir a los administradores de la organización emitir juicios y
tomar decisiones basadas en datos reales.
Una vez producido un hecho económico, se refleja en los diferentes estados del
sistema contable, en distintos momentos. Primero se registra en el diario, luego
puede “mayorizarse” y, por último, al fin del ejercicio se refleja en el balance.
Así, los pasos para el registro de una transacción son:9
Documentos
1
2
3
4
Examen y formulación contable
Clasificación cronológica
Clasificación sistemática
Síntesis
DIARIO
MAYOR
BALANCE
Ciclo de registración contable
9
RIVAS, GONZALO A., Auditoría informática,, Madrid, Edic. Díaz de Santos, 1989, pág.30.
28

Objetivos de una auditoría contable
“Auditoría contable es el examen independiente de los estados financieros de una
entidad, con la finalidad de emitir o expresar una opinión sobre los mismos”.10
El objetivo es:
• Comparar las transacciones del período y el patrimonio al final del
ejercicio registrados en la contabilidad.
• Comparar la valuación asignada a las transacciones y al patrimonio.
Sin embargo, es necesario destacar que:
“... existe un conflicto de intereses. La empresa es quien compila sus propios
estados contables, y la comunidad con el objeto de conseguir la compatibilidad
necesaria de ellos, establece un control denominado auditoría externa de estados
contables...”4
“El objetivo principal de una auditoría, consiste en examinar los estados
financieros de una empresa o institución, aplicando unas normas de actuación
generalmente aceptadas de forma que permita al profesional encargado de su
realización informar sobre la veracidad y razonabilidad de la situación financiera
examinada, al tiempo que se pronuncia sobre si los mismos están confeccionados
de acuerdo con principios de contabilidad generalmente admitidos, y si han sido
aplicados de manera uniforme en ejercicios anteriores”.11
Para ello:
“El auditor, contador público independiente, lleva a cabo una investigación crítica
de los estados contables con el objetivo de formarse un juicio sobre la veracidad
de tal información y comunicarlo a la comunidad. Esta es la tarea del auditor y lo
que se denomina auditoría externa de estados contables.”12
10
GABRIEL GUTIERREZ VIVAS, "Auditoría e Informática", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 87.
11
PEREZ GOMEZ, JOSE MANUEL , "Auditoría Informática de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunión de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 17
12
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Area Auditoría - Informe Nº 5 -
MANUAL DE AUDITORIA, Buenos Aires, 1985, pág 42.
29

Normas para la ejecución de un trabajo de auditoría contable en
un entorno computarizado
En general, los autores coinciden en que las normas de auditoría vigentes han
sido creadas para examinar los registros de los sistemas contables en
ambientes manual-mecánicos. Sin embargo, proponen que también son válidas
para la ejecución de este tipo de trabajos en un entorno computarizado. Es
decir, se pueden aplicar sin importar el ámbito donde ésta se realice.
Gutiérrez Vivas señala al respecto que:
“Las Normas de Auditoría a tener en cuenta en la ejecución de un trabajo de
auditoría en un entorno informático no tienen variación alguna, modificándose los
procedimientos y medios utilizados por el auditor para el cumplimiento de dichas
normas”.13
Sin embargo, el mismo autor destaca que existe conciencia de que algunas
acciones deberían tomarse para adecuar la auditoría al nuevo ambiente; por eso
propone que:
“El Instituto de Censores Jurados de Cuentas ... participa igualmente de la opinión
de considerar a la informática como una herramienta de la auditoría y como tal
tiene el proyecto de emitir una Norma de Auditoría que contemple las
consideraciones a tener en cuenta por el auditor en la ejecución del trabajo en un
contexto informatizado”.14
En nuestro país se aplica el Informe N° 615
como norma para regular la
ejecución de Auditorías Contables en un "contexto computarizado"
1.2. Evolución y alcance de la auditoría contable
Los objetivos perseguidos por la auditoría contable y su campo de acción han
evolucionado gradualmente; desde la cautela de los activos (bienes) y la forma
en que éstos son administrados para poder emitir una opinión sobre la
razonabilidad de los estados financieros de la empresa, hasta pronunciarse
respecto del comportamiento de los restantes sistemas de información en
producción, los procedimientos administrativos de los mismos, la evaluación de
13
GABRIEL GUTIERREZ VIVAS, "Auditoría e Informática", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 89.
14
Idem 7, pág. 93.
15
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe Nº 6 - Pautas para el
examen de estados contables en un contexto computarizado, Buenos Aires, s. f.
30

la eficiencia y economía con que se administran y consumen los recursos, e
incluso, el logro de las metas y objetivos establecidos por la institución.
"Independientemente del campo de acción o del objeto o materia de examen,
aspectos que han derivado en los diversos apellidos de la Auditoría, lo que debe
quedar en claro es que la Auditoría es una técnica moderna de control que
comprende un examen o revisión de carácter CRITICO (exige pruebas
evidenciales), SISTEMATICO (se basa en normas, métodos, procedimientos y
técnicas), y SELECTIVO (sobre la base de encuestas representativas) de
funciones, operaciones e informes, con la finalidad de emitir una OPINION
profesional, OBJETIVA, FUNDAMENTADA, e IMPARCIAL del OBJETO de su
examen".16
Para poder efectuar en forma eficaz su tarea el auditor debe realizar un
sinnúmero de actividades, en muchos casos ajenas a la actividad contable, por
lo que el profesional contable actuante necesita la colaboración de diversos
especialistas y técnicos; de allí que se estila el desarrollo de trabajos de
auditoría sobre la base de equipos multidisciplinarios.
16
JORGE MERIDA MUÑOZ, "Auditoría Informática: Conceptos, evolución y perspectivas", en:
CENTRO REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), ACTAS, I
Congreso Iberoamericano de Informática y Auditoría, San Juan de Puerto Rico, Madrid, 1988, pág.
72.
31

2. DIFICULTADES APORTADAS POR EL AMBIENTE
INFORMATICO
Características de un computador
Nardelli17
, nos señala las características más importantes de un computador en
su relación con la auditoría. Ellas son:
• Automatismo del computador. El computador como un autómata nos
libera del comportamiento probabilístico de los seres humanos.
• Determinismo del algoritmo. El computador trabaja mediante un proceso
exactamente definido que fija la secuencia estricta en que ha de
realizarse una serie de operaciones para arribar a un resultado
prefijado. Esto lo realiza un programa que en realidad se trata de un
modelo determinístico.
Se podría resumir en que un computador actúa siempre igual ante iguales
situaciones; su comportamento no es autónomo, sino que debe ser previamente
determinado por el hombre (a través de un programa). Como corolario, el riesgo
no está en el instrumento en sí (el computador), sino en quién lo maneja y
controla (el programador u operador).
¿Qué opinan los especialistas?
Cuando se realizan trabajos de auditoría en un entorno computarizado el auditor
se encuentra con problemas propios del ambiente. A modo de ejemplo
reproducimos a continuación opiniones de autores especializados, quienes
destacan en forma coincidente algunas de esas dificultades.
17
JORGE NARDELLI, Auditoría y Seguridad de los Sistemas de Computación, Buenos Aires,
Editorial Cangallo, 1984.
32

J.M. Pérez Gómez18
, destaca:
• La información (los registros en general) no está visible al ojo humano.
Los datos del sistema de información contable residen en un medio no
visible y sólo accesible por el computador.
• En la elaboración de la información se realiza todo tipo de operaciones
intermedias sin dejar rastros o constancias de las mismas. Así, esta
información resulta más vulnerable a su modificación, en comparación
con los sistemas manuales.
• Gran parte de la tarea de procesamiento y control de la información que
se realizaba en forma manual, es sustituida por el programa.
Nardelli19
, cuando trata el “Impacto de los computadores sobre las tareas de
auditoría”, enuncia los siguientes problemas:
• Cambios de las pistas de auditoría. Cita como ejemplo las
transacciones generadas dentro de un sistema de “transferencia
electrónica de fondos” (ej.: operaciones realizadas por cajeros
automáticos), donde es el propio sistema informático el que genera
(la fuente) de las transacciones, en este caso en forma electrónica,
es decir, sin el soporte papel que las avala y documenta.
• Necesidad de adecuar las normas de auditoría a una operatoria
electrónica.
• Necesidad de proveer pericia técnica adecuada al auditor.
18
JOSE MANUEL PEREZ GOMEZ, "Auditoría de las organizaciones”, en CENTRO REGIONAL
DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de
expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 17.
19
JORGE NARDELLI, Auditoría y Seguridad de los Sistemas de Computación, Buenos Aires,
Editorial Cangallo, 1984.
33

Jorge Mérida Muñoz20
, cuando habla sobre los efectos de la computación en el
control señala:
• Una participación cada vez menor de las personas en la
transformación de los datos; esto incide en el control preventivo de
errores u omisiones.
• El almacenamiento de los datos -en medios magnéticos- es invisible
al ojo humano.
• Se genera una dependencia de personal especializado para
manipular la información interna de la empresa.
Rafael Ruano Diez21
, expresa: "La dificultad principal para el auditor estriba en
que cada vez más se perderá la pista de la generación de información" (la pista
de auditoría), esto es, no son verificables manualmente por el auditor. Además,
el hecho de que las transacciones vitales sean producidas por el computador,
hace posible que los archivos magnéticos conteniendo esta información pueden
ser alterados o copiados sin que quede pista de lo que ha ocurrido.
Enrique Fernández Bargués22
, nos dice que:
"la verificación del sistema y sus procesos se hace más compleja a medida que
nos enfrentamos con sistemas más integrados, donde la realización a través del
ordenador de las transacciones elementales del negocio genera los
correspondientes asientos contables de forma automática, e incluso operaciones
tradicionalmente efectuadas por el Departamento Contable como las
amortizaciones, se efectúan sin intervención manual alguna”
20
MERIDA MUÑOZ, JORGE, “Auditoría informática: conceptos, evolución y perspectivas”,
CENTRO REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), ACTAS, I
Congreso Iberoamericano de Informática y Auditoría, San Juan de Puerto Rico, Madrid, 1988, pág.
72.
21
RUANO DIEZ, R., "La evolución de la tecnología y su efecto en la Auditoría Informatizada", en:
CENTRO REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES
DE AVILA, Reunión de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 117.
22
FERNANDEZ BARGUES, E., "Auditoría e informática", en CENTRO REGIONAL DEL IBI PARA
LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de expertos sobre
"AUDITORIA INFORMATICA", Madrid,1987, pág. 66.
34

En síntesis, podemos afirmar que los problemas generados por la aplicación de
tecnología informática en el tratamiento de datos son:
• La información ya no es accesible directamente al ojo humano.
• Se depende para el acceso a la información de especialistas en
informática, ajenos a la profesión del auditor.
• Facilidad para modificar la información que reside en los medios
de almacenamiento magnéticos sin dejar rastros; esta
característica es conocida como fenómeno de “volatilidad” de los
datos y es un aspecto que afecta especialmente a las pistas de
auditoría registradas por los sistemas. El próximo capítulo se
dedica en forma completa a tratar esta problemática
• Gran parte de los controles se delegan al propio sistema
informático, dando lugar a la instrumentación de los llamados
“controles programados”.
35

3. SISTEMA DE CONTROL INTERNO
Uno de los aspectos que más interesa en la evaluación (auditoría) de los
sistemas de información es la comprobación de la existencia de “puntos de
control interno”. La finalidad es que éstos sean suficientemente confiables,
independientemente de quienes los operen.
Control interno es el conjunto de normas, reglas, directivas e instrucciones que
los responsables de una organización establecen a fin de coordinar, dirigir y
controlar a sus subordinados en la ejecución de las tareas que se realizan23
.
El control interno también puede ser definido como “el conjunto de medidas que
contribuyen al dominio de la empresa. Tiene como finalidad, por un lado,
asegurar la protección y salvaguarda del patrimonio y la calidad de la
información, y por otro, la aplicación de las instrucciones de la dirección y
favorecer la mejora de las actuaciones. Se manifiesta por medio de la
organización, los métodos y procedimientos de algunas de las actividades de la
empresa para mantener la perennidad de la misma”.24
Control interno es también el conjunto de normas, reglas directivas e
instrucciones que forman el plan de la organización y todos los métodos y
procedimientos que, en forma coordinada, se adoptan para asegurar que las
amenazas sean mitigadas o detenidas y que los componentes sean
resguardados, restringidos o protegidos.
Como vemos, el control interno se refiere a los métodos, políticas y
procedimientos adoptados dentro de una organización para asegurar la
salvaguarda de los activos, la exactitud y confiabilidad de la información
gerencial y los registros financieros, la promoción de eficiencia administrativa y
la adherencia a los estándares de la gerencia.
23
Para ampliar conceptos sobre control interno recomendamos: VOLPENTESTA, Jorge Roberto,
Estudio de Sistemas de Información para la Administración, Ed. O.D.Buyattii, Bs.As., 1993. pág.
155 a 173.
24
DERRIEN, YANN, “Técnicas de la auditoría informática”, Marcombo, España, 1994, pág. 7.
36

El control interno se refiere a los procesos y las prácticas por las cuales la
gerencia intenta asegurar que las decisiones y actividades aprobadas y
apropiadas son hechas y llevadas a cabo. Estas decisiones y actividades
pueden estar gobernadas por “fuerzas” externas: leyes y regulaciones, éticas
profesionales y estándares de auditoría; o por factores internos: controles
implementados para asegurar a la Dirección que el negocio funciona de la
manera esperada.
El control interno apunta a prevenir que funcionarios, empleados y gente externa
a la organización puedan involucrarse en actividades prohibidas o inapropiadas.
De esta manera, el control interno provee el mecanismo para prevenir el caos, la
crisis gerencial, y otros eventos anormales que interfieren en el manejo eficiente
de una organización. Sin los controles apropiados, cada decisión se convierte
en una adivinanza.
Al igual que cualquier procedimiento estándar, para ser efectivos, los controles
deben ser revisados y mantenidos; cuando ello ocurre, los controles trabajan en
beneficio del negocio. Dichos controles no deberían ser tan rígidos como para
hacer difícil cualquier acción, pero no pueden ser tan flexibles que sean la causa
de que nada trabaje bien.
Otro autor25
nos dice: un sistema de control interno es un proceso llevado a
cabo por la Dirección de la organización (Directorio, Gerencia) a los efectos de
brindar una seguridad razonable para el logro de los objetivos de la empresa en
lo que hace a:
• Eficacia y eficiencia de la entidad
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y normas aplicables
La primera categoría se relaciona con los objetivos del negocio de una empresa,
incluyendo la rentabilidad; la segunda con la preparación de información
financiera confiable, incluyendo sus estados contables, mientras que la tercera
se refiere al cumplimiento de las leyes y normas a las que está sujeta.
25
NAVEYRA, JULIO P. y BARBAFINA, MARTIN, “Principios básicos de control interno”.
37

Características del control interno
• Es preventivo.
• Está indisolublemente unido a los sistemas administrativos y contables de la
organización, incorporado al diseño de la estructura, de los procedimientos y
sistemas administrativos.
• No es esporádico ni externo al sistema que sirve, ni a la empresa u
organización en que éste opera. Es continuo.
• Implica eficacia en los procedimientos y controles, eficiencia operativa y
seguridad en materia de información.
• Busca optimizar la relación costo/beneficio para determinar la configuración y
profundidad (alcance) de los controles a efectuar, es decir, tiene en cuenta el
concepto de economicidad del control.
3.1. Impacto de la tecnología en el Control Interno
Pérez Gómez26
, especialista en el tema, afirma que:
• El ordenador no afecta los objetivos del trabajo del auditor, pero sí afecta al
sistema de control interno de la empresa, así como a las técnicas de
comprobación o rastreo.
Y recomienda examinar y comprender la circulación de los datos económico-
financieros de una empresa, desde su aparición, continuando con las
transformaciones realizadas hasta su registro como información de salida. Para
ello es necesario conocer cuáles son:
- Las fuentes de la información elemental (documentación).
- Las distintas combinaciones de esta información elemental a lo
largo del procesamiento de la misma.
- Las pistas de auditoría.
- Los controles tanto manuales como informáticos (automáticos)
establecidos a lo largo del recorrido.
Es decir, los objetivos del trabajo siguen manteniéndose, el cambio respecto a la
auditoría tradicional es el entorno. Por ello, los auditores insisten en privilegiar la
26
JOSE MANUEL PEREZ GOMEZ, "Auditoría Informática de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunión de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 17.
38

revisión del sistema de control interno: satisfechos con las medidas de control
interno implementadas, dan por buenos los datos que genera el sistema de
información económico-financiero.
En general, se coincide que al efectuar la revisión del sistema de control interno
en un ambiente computarizado dentro del marco de una auditoría a un sistema
de información deben controlarse especialmente los siguientes aspectos:
• Adecuada segregación de funciones. En un sistema de información
computarizado la segregación de funciones pasa a ser administrada por
herramientas informáticas a través de grupos de usuarios (control de
accesos) y perfiles de seguridad (permisos y derechos).
También los auditores se ocupan de la separación entre operadores y
programadores porque tiene consecuencias directas sobre la calidad de los
datos. En general se procura implementar controles para que sólo puedan
modificar programas quienes estén autorizados, y con la precaución de dejar
registros de su identidad y de los cambios realizados. Esto implica
instrumentar mecanismos para mantener actualizada la documentación de
los programas de aplicación, incluyendo las modificaciones que se efectúan
sobre los mismos. En este aspecto, tienen suma importancia las
metodologías y los productos que se utilizan para el desarrollo y
mantenimiento de los sistemas de aplicación, por ejemplo, las herramientas
CASE aseguran un ambiente de desarrollo bajo control con documentación
actualizada.
• Control del acceso a los datos críticos y funciones de procesamiento. Se
sugiere implementar controles para asegurar que sólo las personas
debidamente autorizadas puedan activar procesos que impliquen cambios en
la información económico-financiera de la organización. También es
importante implementar mecanismos de control para asegurar la
confidencialidad de la información, es decir, controlar a quienes acceden a
los datos: sólo deberían acceder a la información quienes estén autorizados.
• Acceso general al sistema. A veces, éste es el primer aspecto que el auditor
tiene en consideración al analizar el sistema de control interno de un
ambiente computarizado. Algunos de los controles de esta categoría están
39

provistos por el sistema operativo del equipo, otros son controles más
convencionales, como verificar quiénes acceden al área de Cómputos. En
general, se ocupan de la "identificación" de usuarios (aseguran que sólo
ingresen al sistema los usuarios autorizados) y de la "autenticación" de
usuarios (validan la identidad utilizando contraseñas o passwords secretas,
combinadas algunas veces con la posesión de elementos físicos como
tarjetas magnéticas o tarjetas inteligentes o midiendo características
biométricas como huellas digitales).
3.2. Objetivos del control interno
El objetivo del sistema de control interno es asegurar que los activos de la
organización no se expongan a riesgos innecesarios, verificar la razonabilidad y
confiabilidad de la información financiera, promover la eficiencia operacional y
provocar la adherencia a las políticas prescriptas por la administración. Al existir
un sistema de control interno adecuado, tanto las amenazas como el grado de
riesgo o exposición se reducen a un nivel aceptable.
Por lo tanto, el objetivo del sistema de control interno es prevenir y no detectar
situaciones irregulares una vez que éstas han sido cometidas. En general, los
principios del control interno tienden a la satisfacción de las siguientes metas:
• Adecuada protección de los activos. Debe instrumentar medidas para
salvaguardar el patrimonio o bienes de la organización -tanto tangibles como
intangibles- contra errores e irregularidades. Los errores son fallas no
intencionadas, ocurridas durante el normal desempeño de las actividades, y
las irregularidades son actos intencionales, tendientes a ejecutar un fraude o
alguna otra actividad ilícita contra los bienes de la organización.
• Proveer información confiable. Considera el control sobre la exactitud,
confiabilidad y oportunidad de los datos que se procesan, a fin de obtener
información confiable -tanto para la toma de decisiones como para la
ejecución del resto de las actividades-.
• Promover la eficiencia operativa y la seguridad general de la organización.
3.3. Importancia del control interno
La necesidad de un adecuado sistema de control interno es creciente conforme
40

aumenta el tamaño y la complejidad de una organización, por eso es
inapropiado hablar de un sistema de control interno en una empresa
unipersonal.
De acuerdo a la evolución del ambiente en el cual se desarrollan las tareas de
auditoría -de manual a computarizado-, se fue haciendo cada vez más
importante el empleo de medidas de control interno. El objetivo del auditor en
estos casos es controlar la existencia de "tejidos y mallas de contención" de
conductas y procedimientos que impliquen riesgos, que ocasionen dificultades
para el normal desenvolvimiento de la organización o que impidan que ésta
opere con agilidad.
El ambiente administrativo tradicional fue modificado por la aparición del
computador; en funciones como las registraciones contables, incidió sobre las
tareas más elementales:
- cálculo, resumen, almacenamiento y clasificación de datos.
- transmisión de datos.
- integridad de los sistemas.
- generación de documentos fuentes. Observemos que en la actualidad los
sistemas informáticos tienden a prescindir de los documentos que avalan las
operaciones: facturas, remitos, recibos, etc., y hasta suprimen, a veces, su
generación.
La importancia fundamental del sistema de control interno en un entorno
informático, es que, si este control es razonablemente aceptable, se dan por
buenos los datos que genera el sistema de información computarizado. Por lo
tanto, una de las normas para la ejecución de un trabajo de auditoría en un
entorno computacional, es el estudio y evaluación del sistema de control interno.
Las normas no varían, lo que se modifica son los procedimientos y medios
utilizados por el auditor.
41

3.4. Elementos sobre los que trabaja el control interno
Un sistema de control interno opera sobre la estructura, los procedimientos y el
personal de una organización. Veamos cómo opera en cada uno:
a) En la estructura
La estructura de una entidad (reflejada en el organigrama) provee al sistema de
control interno de información sobre la división de tareas y responsabilidades, y
de los mecanismos de coordinación necesarios para el desarrollo eficiente de
las funciones. Así, la estructura aporta:
- División de funciones evitando la existencia de tierras de nadie o zonas
grises. Es decir, procurar que ningún sector pueda registrar y, a la vez,
controlar sus propias operaciones.
- Definición de misiones y funciones, y asignación de atribuciones y
responsabilidades.
- Separación en fases de una operación. Permite instrumentar mecanismos de
control por oposición de intereses.
b) En los procedimientos
Los procedimientos son las actividades programadas que utiliza una
organización para efectuar sus operaciones. En este ámbito es importante
destacar la necesidad de que existan manuales y/o documentación donde
encontrar las normas, detalle de los pasos o etapas de los procedimientos, los
registros y los documentos fuente.
Los procedimientos necesitan de:
- Manuales de procedimientos formalizados, donde las operaciones están
detalladas en forma escrita (pasos, formularios, documentos, etc.).
- Mecanismos o canales de reclamo.
Mecanismos de control que aseguren la precisión y seguimiento del
procesamiento (para ello se usan reportes automáticos de las transacciones
procesadas, formularios prenumerados, etc.
42

c) En los recursos humanos
El personal constituye dentro de la organización el elemento ejecutor de los
procedimientos. Las normas de control interno aplicables al personal se refieren
a la selección, entrenamiento y capacitación y evaluación de sus tareas.
Procuran evaluar:
–El procedimiento de búsqueda y selección de personal; procura asegurar la
calidad individual y las aptitudes necesarias para el puesto a cubrir.
–El entrenamiento y capacitación adecuado del personal.
–La rotación del personal, en especial de aquél asignado a puestos claves.
3.5. Medidas de control interno aplicables a un ambiente
computarizado
Como elemento integrante del sistema de control interno de la entidad, los
controles computarizados deben procurar potenciar los siguientes aspectos:
• Limitación de la autoridad: Busca establecer un régimen adecuado de
autorización de operaciones y actividades.
• Separación de tareas: Procura la segregación de tareas, de modo que
ninguna persona/puesto concentre las funciones de custodiar bienes,
autorizar las transacciones que los afecten y, a su vez, registrarlas.
• Protección física: Procura producir documentos y registros adecuados para
asegurar la debida contabilización y restringir el acceso de personas no
autorizadas a bienes y registros.
Las medidas de control interno aplicables a un sistema computarizado pueden
ser agrupadas en dos grandes categorías:
a) Control del entorno
Esta categoría contempla los controles aplicados sobre las actividades que se
desarrollan “alrededor” de una aplicación. Son aquéllos relacionados con la
operación de los programas. También incluye el control de las actividades de
construcción y mantenimiento de las aplicaciones; esto implica el diseño y la
43

programación de los sistemas, la puesta en marcha y uso de los programas, la
seguridad de operación y resguardo de los archivos de datos, el control de
acceso al sistema, etc.
Los controles del entorno pueden ser agrupados en aquellos orientados a:
• Operación del computador: asegura la consistencia de los procedimientos
operativos del computador, por ejemplo, implementar procedimientos y
asignar responsabilidades para las tareas de back-up, mantenimiento de
perfiles de usuarios, asignación de cuentas y password de usuarios, etc.
• Seguridad sobre archivos de datos: procura impedir accesos no autorizados
o cambios no deseados a los archivos de datos, por ejemplo, configurando
perfiles de acceso para directorios y archivos por medio de los mecanismos
de seguridad para los file system del sistema operativo.
• Mantenimiento de los programas: Comprende a los procedimientos internos
que involucran controles y autorizaciones para poner en producción nuevos
programas “ejecutables”. Se formalizan a través del uso de metodologías
para el desarrollo y procedmientos para gestionar las modificaciones; su
finalidad es impedir cambios no autorizados a los programas.
• Productos de software utilizados: procura evitar el uso incorrecto e indebido
de productos de software (sistema operativo, utilitarios, etc.) que puedan
afectar a la información sensible de la empresa. Por ejemplo, usando sólo
copias “legales” de los productos, estandarizando las herramientas de
productividad (procesadores de texto, planillas de cálculo, bases de datos
personales) que pueden utilizar los usuarios, implementando planes de
capacitación para los usuarios finales, etc.
b) Controles programados o de aplicación
Los controles de aplicación o controles programados son los mecanismos de
validación incorporados en los programas que procesan las operaciones de una
entidad, son procedimientos de verificación y validación ejecutados por los
programas de una aplicación que se ejecutan en forma automática. También
suelen incluirse en esta categoría los controles manuales realizados por los
usuarios de la aplicación antes y después de que los datos sean procesados por
el computador (controles visuales a los datos de entrada y salida).
44

Cuando los controles de una aplicación son llevados a cabo por el computador,
es decir por el programa que se está ejecutando en su memoria, reciben el
nombre de procedimientos programados o controles programados.
Es necesario asegurar que la formulación de los controles programados sea
efectuada en forma planificada y dentro del marco general de la aplicación,
evitando que se vayan incorporando sobre la marcha, en forma de remiendos.
La incorporación de controles programados en forma desordenada, fuera del
marco general del sistema o en contra de su diseño, llevan en general a un
acortamiento en su vida útil y/o a “crisis” generales en el mismo, generando la
necesidad de su reemplazo urgente, con los costos económicos y
organizacionales asociados.
3.6. Tipos de controles programados
Los controles programados a incorporar en una aplicación, serán particulares a
los problemas (controles) que se deseen resolver en el sistema de información
que estemos desarrollando. Para abordar los tipos de controles posibles de
programar, vamos a agruparlos en cuatro categorías, según el momento donde
intervienen en la transacción:
a) Controles de entrada
Son los mecanismos de control que operan sobre los datos que ingresan al
sistema. Permiten seleccionar los datos que entran al computador y aseguran
que se procesen en forma integral y correcta sólo las operaciones debidamente
autorizadas. Están relacionados con el control sobre la totalidad, exactitud,
validez y mantenimiento de los datos que ingresan al sistema. Consisten en
pruebas de validación, acumulación de totales, reconciliaciones, identificación e
informe de datos incorrectos, excepcionales o faltantes, etc.
Clasificación de los controles de entrada:
• de secuencia: verifican que las operaciones entren en el sistema en su
totalidad y en el orden correspondiente. Trabajan con documentos pre-
numerados.
45

• de comparación con datos preexistentes: impiden la aceptación de un dato si
éste no satisface las condiciones previamente establecidas por otro dato.
• por límites: rechazan o advierten que los datos de entrada que no estén
comprendidos dentro de determinados parámetros.
• por lotes: toma como elemento de control el resultado del procesamiento de
un dato correspondiente a un lote de entrada. Por ejemplo, total de venta
correspondiente a un día determinado en una sucursal (obtenido de la
planilla de Tesorería), este dato debe corresponderse con el resultado del
lote a procesar (lote de facturas) por la aplicación.
¿Cuándo se implementan los controles de entrada?
- En la preparación de la documentación fuente por parte del usuario: se
recomienda utilizar documentos de origen prenumerados y carátulas de control
para los lotes de documentos a procesar.
- En la digitación, cuando los datos contenidos en los documentos fuente se
convierten a soportes (digitales) capaces de ser leídos por el computador, es
conveniente contemplar las siguientes acciones: doble digitación de los campos
críticos, autorizar las operaciones sobre el mismo documento fuente, identificar
(marcar) los documentos fuente procesados, mantener un acceso restringido a
los documentos fuente, efectuar un control de balanceo de lotes, usar dígito
verificador, etc.
- En la consistencia de los datos: estos controles aseguran la calidad del dato.
Se agrupan en controles de: formato, falta del contenido, naturaleza del dato,
límite de razonabilidad/rango, correlación entre distintos campos, balanceo,
conciliación, items rechazados y en suspenso, apareo de registros, etc.
b) Controles de procesamiento
Los controles programados aplicados al procesamiento operan sobre las
transformaciones que se ejercen en los datos, una vez que la transacción entra
en el sistema. Por ejemplo, el control de balanceo de operación, necesario para
mantener la consistencia entre los datos de entrada y de salida. Procuran evitar
la realización de errores y/o fraudes, mejorar la seguridad y confiabilidad en el
procesamiento de los datos y la generación de información cierta.
Tipos de controles de procesamiento:
− control de límite (similares a los de entrada).
46

− prueba de sumas cruzadas (sumar desde varias fuentes el mismo item).
− prueba de balanceo cero (asegura que los créditos son iguales a los débitos).
− control de procesamiento duplicado (aseguran que una transacción no se
procese dos veces).
− control de items en suspenso
Los items en suspenso se generan en los casos de operaciones que, por algún
motivo, no han satisfecho los requisitos de entrada. En estos casos, se
recomienda que las operaciones incompletas ingresen (se graben) en un
archivo especial, de transacciones en suspenso. Posteriormente, cuando los
requisitos para procesar dichas transacciones estén cumplidos, podrán ser
“levantadas” desde dicho archivo y finalizar su procesamiento normalmente.
Por último, en los casos de sistemas on-line, los controles recomendados de
procesamiento aconsejan que las operaciones de borrado de registros no
ejecuten la baja física de los mismos, sino que los marquen, para ser
posteriormente depurados. También, aconsejan registrar los datos básicos de
las operaciones procesadas a medida que éstas se producen, en un archivo de
movimientos (log de transacciones).
c) Controles de salida
Los controles programados para la salida de datos procuran proteger la
información que genera el sistema de los potenciales errores y/o irregularidades
que pueden llegar a detectarse cuando se los lea. El sistema deberá establecer
los mecanismos que garanticen la exactitud de la información de salida, la cual
debe poder conciliarse con los datos fuentes.
Tienen como objetivo asegurar que:
− la información de salida sea completa y no pueda ser alterada por fuera del
sistema.
− la información se distribuya a las personas autorizadas, en tiempo y forma.
− se identifiquen convenientemente los soportes (en caso de ser magnéticos)
para facilitar el acceso a la información. Esto es especialmente importante
cuando los datos a guardar en formato digital tienen probabilidad de perdurar
47

en el tiempo (imagine Ud. datos guardados hace 15 años en disquetes de 8";
¿dónde puede leerlos ahora?).
d) Controles sobre los archivos
Los controles programados sobre los archivos operan tanto sobre los datos
permanentes del sistema, grabados en los archivos maestros, como sobre los
que guardan datos transitorios, en archivos de movimientos. Procuran proteger
los archivos grabados en soporte digital. Estos controles son ejercidos
principalmente por el sector de Operación o Explotación del departamento de
Sistemas y, también, por los propios usuarios.
Ejemplos de este tipo de controles programados son los listados emitidos
automáticamente por las aplicaciones, informando a los usuarios respecto a las
modificaciones efectuadas a datos críticos de los archivos maestros. Por
ejemplo:
− número de registros dados de alta, baja o modificados.
− número de registros existentes en los archivos antes y después de las
modificaciones.
− sumatoria del contenido de campos significativos que se deseen controlar,
etc.
Si bien la responsabilidad sobre los datos de un sistema recae en el usuario
final, el personal del área de Sistemas que apoya la gestión de las aplicaciones
debe cuidar de no procesar altas, bajas y modificaciones sobre datos críticos
que no se encuentren acompañados de las respectivas autorizaciones.
La oportunidad y alcance de estos controles deben ser fijados por el área de
auditoría interna y los sectores usuarios, conjuntamente con los responsables
del departamento de Sistemas de la entidad.
48

4. RELEVAMIENTO DEL SISTEMA DE CONTROL
INTERNO
En este apartado trataremos los aspectos relacionados con las tareas de
Relevamiento e investigación, tercera etapa del "Programa de Auditoría"
(descripto en la unidad anterior). Esta etapa es habitualmente la que demanda
mayor esfuerzo y recursos y es clave para determinar la calidad de un trabajo
de auditoría.
En general, para efectuar las tareas correspondientes a la etapa de
relevamiento, en el marco de un trabajo de auditoría de un sistema de
información que funciona en un entorno computarizado, se siguen tres fases;
cada una de ellas agrupa un conjunto de actividades:
1) Estudio preliminar: tarea previa a encarar de lleno el relevamiento e
investigación en detalle del área.
Los objetivos de esta fase son:
a) Determinar las principales aplicaciones del área o sistema que se audita,
y sus efectos en la información.
b) Conocer las características del equipamiento disponible.
c) Establecer el efecto del sistema computarizado en la información de la
empresa. En caso de que sea determinante, se pasa a la siguiente etapa.
2) Estudio del sistema de control interno: actividad obligatoria cuando
en el estudio preliminar se ha determinado que intervienen aplicaciones
informáticas en la obtención de la información de la entidad bajo estudio.
49

Los objetivos de esta fase son:
• Evaluar la estructura organizacional del área de Sistemas (Centro de
Cómputos o departamento de Sistemas) y los controles generales
establecidos en dicha área.
• Conocer las características de las aplicaciones, el grado de intervención
en la transformación de los datos y el volumen de operaciones que
dependen del sistema de computación. El objetivo es poder juzgar si se
deben efectuar pruebas de cumplimiento a los controles implementados
en el ambiente de procesamiento de datos, situación en la que se pasa
a la siguiente etapa.
3) Prueba de los controles del sistema de información: actividad
obligatoria cuando los sistemas computarizados sujetos a revisión son de tal
importancia, que la omisión del cumplimiento de los controles limita la
calidad de las pruebas de auditoría consideradas “válidas y suficientes”.
Hecho el estudio preliminar y vista la necesidad de evaluar el sistema de control
interno, vamos a ocuparnos ahora de las tareas involucradas en esta etapa del
relevamiento. Para realizar esta tarea es conveniente seguir una metodología
(procedimiento de trabajo). Una metodología de relevamiento nos asegura que
se cumplan todos los pasos necesarios para hacer un completo y riguroso
estudio del sistema de control interno
50

Auditoría SI

Recomendados

Recomendados

Más contenido relacionado

Similar a Auditoría SI

Similar a Auditoría SI (20)

Auditoría SI